PROTECCIÓN DE DATOS

¿Por qué es necesaria la aplicación de estas medidas?

Justificación normativa y consecuencias del no-hacer.

Tras la publicación por parte de la Unión Europea del Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante RGPD), relativo a la protección de datos personales de las personas físicas y a la libre circulación de estos, que pasa a derogar la antigua Directiva 95/46/CE en mayo de 2016 y la aplicación de la Ley orgánica 3/2018, de 5 de diciembre, de Protección de datos Personales y garantía de los derechos digitales, en complemento y desarrollo del RGPD.

El motivo de la aplicación de esta normativa recae en, el deber por parte de las organizaciones de proteger a las personas físicas, en relación con el tratamiento de datos personales de los individuos reconocido como un derecho fundamental. Recogido en el artículo 8.1 de la carta de los Derechos Fundamentales de la UE y del artículo 16.1 del Tratado de Funcionamiento del UE (TFUE) estableciendo estos efectos que, toda persona tiene derecho a la protección de los datos de carácter personal que les conciernan.

Esta normativa por tanto, pretende contribuir al desarrollo de espacios que garanticen la protección y la seguridad de este derecho fundamental, reforzando el bienestar de las personas físicas.

Se aplicará por tanto a los tratamientos total o parcialmente automatizados de datos personales, así como al tratamiento no automatizado contenidos o destinados a ser incluidos en un fichero.

Este derecho no debe entenderse como un derecho absoluto, sino que, debe mantenerse en equilibrio con otros derechos fundamentales con arreglo a los principios de proporcionalidad. Así bien el RGPD y la LOPDGDD desarrollan un conjunto de reglas que trazan un mapa a seguir en función de cómo se deben tratar, ceder y recoger los datos personales. Que en definitiva son deberes y obligaciones a los que están sujetos las organizaciones y empresas que procesen datos personales de terceros, incluidos entre ellos clientes, empleados y proveedores.

Las organizaciones deberán trabajar para crear una nueva cultura de cumplimiento en la compañía y afrontar los cambios de ir adaptándose a las nuevas obligaciones del Reglamento, que además este es de carácter obligatorio desde el 25 de mayo de 2018.

De la idea de estas responsabilidades y obligaciones se desprende también su sistema sancionador, en caso del incumplimiento por parte de las empresas de los requisitos exigidos por el Reglamento, como las infracciones, actos y conductas a los que se refiere el artículo 83 RGPD en sus apartados 4, 5 y 6 que derivara en multas y sanciones que estas en función de determinados factores, podrán oscilar de entre:

Los 10.000.000 EUR a 20.000.000 EUR como máximo o de una cuantía equivalente del 2 al 4 % como máximo del volumen del negocio total anual global del ejercicio financiero anterior, optándose siempre por la mayor cuantía.

Un proyecto sólido de gestión de protección de datos,ayudará a analizar e identificar, evaluar, gestionar, reducir y tratar los riesgos que se encuentran en el seno de la organización.

Reduciendo en todo caso el impacto en el que las organizaciones pueda verse afectada por no haber tenido la diligencia debida a la hora de gestionar y aplicar la normativa.

Además, el cumplimiento de GDPR deberá en todo caso ser demostrable a la práctica y que los procesos no son solo pautas meramente definidas bajo una guía legal escritas en un documento, si no que existe una pro- actividad por parte de la empresa/organizaciones.

La seguridad de la información se configura en tres pilares;

CONFIDENCIALIDAD

Obligación de secreto del artículo 90 RGPD, entendida como la garantía de acceso limitado a la información de los usuarios impidiendo el acceso o uso no autorizado e ilegítimo.

Los datos solo serán revelados a aquellos que tienen derecho o autorización a saber de ella.

INTEGRIDAD

La información se encuentra protegida ante posibles modificaciones no autorizadas.

DISPONIBILIDAD

Entendida como la garantía de que los sistemas de información se encuentren operativos y se puedan utilizar cuando sea necesario.

¿Cuál es nuestro plan de acción y compromiso con su empresa?

El objetivo del proyecto por parte del equipo de INPRIVE es llevar a cabo;

● Implementación del sistema Gestión de Protección de Datos.

● Dar cumplimiento a la Ley de Servicios de la Sociedad de la Información y del Comercio electrónico.

● Gestión de la seguridad de la información.

● Gestión de la seguridad de las TIC.

● Conocimiento de la operatividad y funcionamiento de la empresa.

● Brindar soluciones técnicas y prácticas adaptadas a la realidad de la empresa y de sus posibilidades técnicas y organizativas.

● Dar seguimiento en el futuro en el mantenimiento del sistema de gestión.

● En caso de que así se requiera, realizar formaciones para la concienciación de los directivos y empleados en dar cumplimiento al sistema de Gestión en Protección de datos que se pretende instaurar en la empresa.

● Realizar un mapa de riesgos que permita identificar los riesgos y poder implementar un esquema de mitigación del riesgo.

● Elaborar un plan de prevención que neutralice los riesgos antes de su comisión.

● Establecer procedimientos de control que favorezcan el cumplimiento normativo de forma demostrable.

IMPLEMENTACIÓN Y CUMPLIMIENTO

● Implementación de las políticas de seguridad resultantes del análisis de riesgos.

● Realización y ejecución del plan de acción.

● Redacción de las políticas de privacidad de la empresa.

● Implementación de los clausulados y formularios de información y consentimiento.

● Ejecución y monitorización de las políticas de conservación y destrucción de datos.

● Realización de repositorio de evidencias de control por parte de la empresa.

● Verificación de la eficacia de los controles de seguridad física, ambiental y digital.

● Informe de resultados y medidas correctoras.

● Mantenimiento.